Hanya beberapa hari sebelum berlakunya GDPR, Universitas Greenwich dalam kesulitan. Kantor Komisaris Informasi (kantor Komisaris Informasi adalah badan penegak hukum independen Inggris) mendenda universitas tersebut £ 120 ribu (pada saat penulisan, ini adalah sekitar 136 ribu euro, 160 ribu dolar AS, 10 juta Rusia rubel, 4,2 juta hryvnias Ukraina) untuk kerentanan keamanan serius yang menyebabkan kebocoran data hampir 20 ribu siswa dan staf. Bagaimana universitas yang sedemikian serius berhasil berada di bawah distribusi ICO dan menjadi universitas pertama yang didenda karena melanggar DPA, dan apa yang diajarkannya kepada kita untuk dibaca di bawah potongan.
Semuanya dimulai pada tahun 2004. Kemudian universitas mengadakan konferensi akademik di Computing and Mathematics School (sekolah komputasi dan matematika), di mana salah satu siswa membuat microsite. Salah satu fungsinya adalah memuat dokumen secara anonim. Konferensi selesai, dan mereka lupa tentang server. Tidak ada yang mematikannya, memformatnya, atau memperbaruinya. Dia hanya berdesir diam-diam di sudut selama bertahun-tahun (kami iri dengan anggaran universitas yang membiarkan kami melupakan server dan energi yang mereka konsumsi).
Akhirnya, pada 2013, yaitu 9 (!) Tahun kemudian, cracker pertama mencapai server dan berhasil menggunakan fungsi unduh anonim untuk mengkompromikan microsite. Dan tidak ada yang berhasil memperhatikan ini. Yang cukup mudah ditebak - bagaimana seseorang bisa melihat peretasan di server jika mereka belum memperhatikan server selama 9 tahun? ..
Beberapa kali, peretas memasuki jaringan universitas pada tahun 2016 menggunakan kerentanan SQL dan PHP yang belum diperbarui selama 12 tahun pada waktu itu. Dan lagi, ini tidak segera diperhatikan. Mereka hanya belajar tentang meretas dan membuang data ketika salah satu peretas mempostingnya sepenuhnya di Pastebin.
Dan mereka banyak bocor. Informasi pribadi sekitar 19.500 siswa, lulusan dan karyawan universitas, termasuk nama, alamat, dan telepon, disediakan untuk umum. Serta data yang lebih sensitif dari 3.500 orang, termasuk tidak hanya pembenaran untuk ketidakhadiran, tetapi juga data tentang kesulitan dengan pelatihan, penyakit, dll.
Universitas mengakui kesalahannya dan melakukan "pembersihan umum" untuk meningkatkan keamanan sumber daya internalnya secara signifikan.
Apa yang diajarkan di sini kepada kita?
Situasinya ternyata penasaran, tetapi sangat instruktif. Dan pelajaran bisa dipelajari dari berbagai sudut.
Dalam hal GDPR
Mengingat bahwa keputusan itu dibuat hanya beberapa hari sebelum berlakunya GDPR, banyak yang mempertimbangkan situasinya, termasuk dari perspektif arahan ini. Dalam hal ini, universitas dianggap sebagai pengontrol data pribadi dan karenanya bertanggung jawab untuk memastikan keamanannya. Bahkan terlepas dari kenyataan bahwa situs tersebut telah lama dibuat, di salah satu departemen universitas dan, tampaknya, tanpa sepengetahuan departemen TI.
Jumlah denda bisa lebih tinggi jika situasinya terjadi setelah berlakunya peraturan baru. Jika, menurut aturan lama, ICO dapat mengenakan denda hingga 500 ribu pound (sekitar 560 ribu euro), GDPR menyiratkan denda hingga 20 juta euro atau 4% dari omset global tahunan (opsi yang lebih besar).
Dari perspektif organisasi besar
Semakin besar struktur, semakin sulit untuk menyimpan catatan. Terutama jika struktur memiliki unit otonom yang cukup, seperti fakultas atau kantor / produksi terpencil. Tapi ini bukan alasan untuk melupakan.
Departemen TI yang bertanggung jawab sekali lagi harus menyegarkan dalam ingatan beberapa aturan sederhana yang akan membantu menghindari situasi ini:
- Perbarui secara teratur. Bahkan, aturannya jelas, bahkan memalukan untuk menulis. Tetapi dalam banyak hal, ketidakpatuhannya yang menyebabkan konsekuensi yang dijelaskan di atas.
- Buang sampah tepat waktu. Seberapa sering kita membuat beberapa situs sementara, file, folder terbuka, akun dengan kata sandi primitif untuk melakukan tugas jangka pendek satu kali? Saya pikir banyak orang kadang melakukannya. Tetapi kadang-kadang kita lupa untuk menghapusnya segera setelah tugas selesai, dan dengan demikian membuka lubang keamanan tertentu. Siapa yang tahu seberapa cepat seseorang akan menemukan test.php Anda dengan akses langsung ke database? ..
Jika setidaknya seseorang mendorong artikel ini untuk mengaudit sumber daya mereka, terutama yang telah melayani sendiri, maka hari saya tidak sia-sia.
Untuk referensi
Kantor Komisaris Informasi adalah organisasi Inggris yang dibentuk untuk melindungi dan menegakkan hak informasi demi kepentingan umum. Ini memiliki sejumlah kewajiban di bawah Undang-Undang Perlindungan Data 1998, Undang-Undang Kebebasan Informasi 2000, Peraturan Informasi Lingkungan 2004, dan Peraturan Privasi dan Komunikasi Elektronik 2003 (Peraturan privasi dan komunikasi elektronik).
Di antara tugas-tugas kantor adalah penyesuaian perilaku organisasi dan orang yang mengumpulkan, memproses dan menggunakan data pribadi. Yang dia miliki adalah gudang yang luas dari mekanisme pengaruh, dari audit ke denda dan penuntutan pidana. Beberapa kasus dari latihan mereka mungkin mengejutkan atau bahkan membuat iri.
- Costelloe dan Kelly Limited didenda £ 19.000 karena mengirim lebih dari 260.000 pesan spam yang mengiklankan paket pemakaman.
- Royal Postal Service didenda £ 12.000 karena melakukan spam pada pengguna yang tidak berlangganan.
- Layanan Kejaksaan Kerajaan telah didenda £ 325.000 karena kehilangan DVD interogasi polisi yang tidak terenkripsi terkait dengan kasus 15 korban pelecehan seksual anak. Dan ini adalah kasus kedua hilangnya data oleh layanan kejaksaan. Tidak hanya di negara kita berantakan ...
- Mantan konsultan ketenagakerjaan bubar dengan lebih dari seribu pound untuk membuang data dari database majikan. Dan siapa di antara Anda yang menggabungkan repositori atau basis klien sebelum meninggalkan perusahaan? ;)
- Komunitas Alkitab membayar seratus ribu pound untuk kerentanan itu, karena informasi yang dikumpulkan sekitar 417 ribu orang yang mendukung organisasi. Termasuk informasi tentang kartu bank dan rekening orang yang disumbangkan.
- Seorang pegawai departemen pendidikan pemerintah daerah didenda £ 1.500 karena mengirimkan informasi pribadi kepada siswa dan orang tua mereka melalui Snapchat. Dan bagaimanapun juga saya tidak merencanakan sesuatu yang buruk. Orang tua yang tinggal terpisah ingin mendapat informasi tentang anaknya. Tapi sejak itu kamera pada ponsel tidak tahu cara menghapus hanya satu baris tablet, orang tua menerima data pribadi 37 siswa dan orang tua mereka, termasuk nama, alamat, tanggal lahir dan nomor jaminan sosial. Dan omong-omong, dia tidak lagi bekerja di sana.
Seseorang hanya bisa berharap bahwa sikap yang beradab dan hormat terhadap data akan datang ke tanah kita cepat atau lambat.
Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda,
diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami buat untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV dari $ 249 di Belanda dan Amerika Serikat! Baca tentang
Cara Membangun Infrastruktur Bldg. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?